中国证券监督管理委员会公告
(〔2011〕38号)
现公布金融行业推荐性标准《证券期货业信息系统安全等级保护基本要求(试行)》(JR/T 0060-2010),自公布之日起施行。
中国证券监督管理委员会
二○一一年十二月二十二日
ICS 03.060
A11 JR
备案号
中华人民共和国金融行业标准
JR/T 0060-2010
证券期货业信息系统安全等级保护基本要求(试行)
Securities and futures industry-
Baseline for classified protection of information system
(Trial basis)
2011-12-22发布 2011-12-22实施
中国证券监督管理委员会 发布
目次
前言
引言
1 范围
2 规范性引用文件
3 术语和定义
4 证券期货业信息系统安全等级保护概述
4.1 证券期货业信息系统安全保护等级
4.2 不同等级的安全保护能力
4.3 基本技术要求和基本管理要求
4.4 基本技术要求的三种类型
5 第一级基本要求
5.1 技术要求
5.1.1 物理安全
5.1.2 网络安全
5.1.3 主机安全
5.1.4 应用安全
5.1.5 数据安全及备份恢复
5.2 管理要求
5.2.1 安全管理制度
5.2.2 安全管理机构
5.2.3 人员安全管理
5.2.4 系统建设管理
5.2.5 系统运维管理
6 第二级基本要求
6.1 技术要求
6.1.1 物理安全
6.1.2 网络安全
6.1.3 主机安全
6.1.4 应用安全
6.1.5 数据安全及备份恢复
6.2 管理要求
6.2.1 安全管理制度
6.2.2 安全管理机构
6.2.3 人员安全管理
6.2.4 系统建设管理
6.2.5 系统运维管理
7 三级基本要求
7.1 技术要求
7.1.1 物理安全
7.1.2 网络安全
7.1.3 主机安全
7.1.4 应用安全
7.1.5 数据安全及备份恢复
7.2 管理要求
7.2.1 安全管理制度
7.2.2 安全管理机构
7.2.3 人员安全管理
7.2.4 系统建设管理
7.2.5 系统运维管理
8 第四级基本要求
8.1 技术要求
8.1.1 物理安全
8.1.2 网络安全
8.1.3 主机安全
8.1.4 应用安全
8.1.5 数据安全及备份恢复
8.2 管理要求
8.2.1 安全管理制度
8.2.2 安全管理机构
8.2.3 人员安全管理
8.2.4 系统建设管理
8.2.5 系统运维管理
9 第五级基本要求
附录A(规范性附录) 关于证券期货业信息系统整体安全保护能力的要求
附录B(规范性附录) 证券期货业重要信息系统安全要求的选择和使用
前言
本标准附录A和附录B是规范性附录。
本标准由全国金融标准化技术委员会证券分技术委员会提出。
本标准由全国金融标准化技术委员会归口管理。
本标准已经征得公安部同意。
本标准起草单位:中国证券监督管理委员会信息中心、深圳证券交易所、郑州商品交易所、深圳证券通信公司、上海期货信息技术有限公司、国泰君安证券股份有限公司、兴业证券股份有限公司、南方基金管理有限公司、公安部信息安全等级保护评估中心、中国信息安全测评中心、上海市信息安全测评认证中心。
本标准主要起草人:张野、戴文华、杨淑琴、罗凯、邹胜、邓晖、陈恺、王伟喜、马晨、王孝伟、万璟、陈友清、俞枫、刘斌、王肇东、吴越、葛峰、王伟强、陈凯辉、黎峰、马力、曲洁、班晓芳、应力、徐御。
本标准为首次发布。
引言
本标准依据国家信息安全等级保护管理规定制定。证券期货业具有信息化程度高、业务持续性要求高、对信息系统的容量和处理能力要求高的特点。本标准从证券期货业实际情况出发,对《信息系统安全等级保护基本要求》(GB/T 22239-2008)的有关要求进行了明确、细化和调整,提出和规定了证券期货业不同等级信息系统的安全要求,适用于指导证券期货业按照等级保护要求进行安全建设、测评和监督管理。
本标准文字中,明确、细化和调整的内容以楷体字表示。
证券期货业信息系统安全等级保护基本要求(试行)
1.范围
本标准规定了证券期货业不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导证券期货业分等级信息系统的安全建设整改、测评和监督管理。
2.规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注明日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 5271.8 信息技术词汇第8部分:安全(GB/T5271.8-2001,idt ISO/IEC 2382-8:1998)
GB17859 计算机信息系统安全保护等级划分准则
GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南
GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求
3.术语和定义
GB/T 5271.8和GB 17859-1999确定的以及下列术语和定义适用于本标准。
3.1.安全保护能力security protection ability
系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。
4.证券期货业信息系统安全等级保护概述
4.1. 证券期货业信息系统安全保护等级
证券期货业信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、资本市场稳定、公共利益以及投资者、法人和其他组织的合法权益的危害程度,由低到高划分为五级,五级定义见GB/T 22240-2008。
4.2.不同等级的安全保护能力
不同等级的信息系统应具备的基本安全保护能力如下:
第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。
第二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
第四级安全保护能力:应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。
第五级安全保护能力,(略)。
4.3.基本技术要求和基本管理要求
证券期货业信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力,不同安全保护等级的证券期货业信息系统要求具有不同的安全保护能力。
基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。
基本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求,信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统的每个组件满足基本安全要求外,还要考虑组件之间的相互关系,来保证信息系统的整体安全保护能力。关于证券期货业信息系统整体安全保护能力的说明见附录A。
对于涉及国家秘密的信息系统,应按照国家保密工作部门的相关规定和标准进行保护。对于涉及密码的使用和管理,应按照国家密码管理的相关规定和标准实施。
4.4. 基本技术要求的三种类型
根据保护侧重点的不同,技术类安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);通用安全保护类要求(简记为G)。本标准中对基本安全要求使用了标记,其中的字母表示安全要求的类型,数字表示适用的安全保护等级。
针对不同机构、不同系统的特点,本标准对证券期货业已定级重要信息系统的安全要求和使用原则,参见附录B。
5.第一级基本要求
5.1. 技术要求
5.1.1.物理安全
5.1.1.1.物理访问控制(G1)
机房出入应安排专人负责,控制、鉴别和记录进入的人员。
机房出入应当安排专人负责管理,人员进出记录应至少保存3个月。
5.1.1.2.防盗窃和防破坏(G1)
本项要求包括:
a)应将主要设备放置在机房内;
b)应将设备或主要部件进行固定,并设置明显的不易除去的标记。
1) 主要设备应当安装、固定在机柜内或机架上;
2) 主要设备、机柜、机架应有明显且不易除去的标识,如粘贴标签或铭牌。
5.1.1.3.防雷击(G1)
机房建筑应设置避雷装置。
机房或机房所在大楼,应设计并安装防雷击措施,防雷措施应至少包括避雷针或避雷器等。
5.1.1.4.防火(G1)
机房应设置灭火设备。
5.1.1.5. 防水和防潮(G1)
本项要求包括:
a)应对穿过机房墙壁和楼板的水管增加必要的保护措施;
b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。
5.1.1.6. 温湿度控制(G1)
机房应设置必要的温、湿度控制设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1) 开机时机房温度应控制在18℃-28℃;
2) 开机时机房相对湿度应控制在35%-75%。
5.1.1.7.电力供应(A1)
应在机房供电线路上配置稳压器和过电压防护设备。
5.1.2.网络安全
5.1.2.1.结构安全(G1)
本项要求包括:
a)应保证关键网络设备的业务处理能力满足基本业务需要;
b)应保证接入网络和核心网络的带宽满足基本业务需要;
c)应绘制与当前运行情况相符的网络拓扑结构图。
应绘制完整的网络拓扑结构图,有相应的网络配置表,包含设备IP地址等主要信息,与当前运行情况相符,并及时更新。
5.1.2.2.访问控制(G1)
本项要求包括:
a)应在网络边界部署访问控制设备,启用访问控制功能;
b)应根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包出入;
c)应通过访问控制列表对系统资源实现允许或拒绝用户访问,控制粒度至少为用户组。
5.1.2.3.网络设备防护(G1)
本项要求包括:
a)应对登录网络设备的用户进行身份鉴别;
应删除默认用户或修改默认用户的口令,根据管理需要开设用户,不得使用缺省口令、空口令、弱口令。
b)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施;
c)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
5.1.3.主机安全
5.1.3.1.身份鉴别(S1)
应对登录操作系统和数据库系统的用户进行身份标识和鉴别。
5.1.3.2.访问控制(S1)
本项要求包括:
a)应启用访问控制功能,依据安全策略控制用户对资源的访问;
b)应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令;
1)系统无法修改访问权限的特殊默认账户,可不修改访问权限;
2)系统无法重命名的特殊默认账户,可不重命名。
c) 应及时删除多余的、过期的账户,避免共享账户的存在。
5.1.3.3.入侵防范(G1)
操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并保持系统补丁及时得到更新。
持续跟踪厂商提供的系统升级更新情况,应在经过充分的测试评估后对必要的系统补丁进行及时更新。
5.1.3.4.恶意代码防范(G1)
应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。
1) 原则上所有主机应安装防恶意代码软件,不支持的主机操作系统除外;
2) 未安装防恶意代码软件的主机,应采取有效措施进行恶意代码防范。
5.1.4.应用安全
5.1.4.1. 身份鉴别(S1)
本项要求包括:
a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别;
b)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
c)应启用身份鉴别和登录失败处理功能,并根据安全策略配置相关参数。
5.1.4.2.访问控制(S1)
本项要求包括:
a)应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问;
b)应由授权主体配置访问控制策略,并严格限制默认用户的访问权限。
